图片
图片



     随着物联网的不断发展,支持物联网的设备和应用使消费者的生活更为轻松,但也带来了与消费品安全相关的潜在风险。网络安全就是产品安全政策的一个重要方面。为了物联网产品消费者权益能够受到安全法律、法规和标准的良好保护,许多国家正在或已经制定强制性安全法规,例如即将强制执行的欧盟RED指令新授权法案,也新增了网络及通讯安全要求,其中规定厂商在产品设计和生产上都必须符合要求。考虑到产品的研发及测试周期,企业需要提前对安全评估进行规划。

图片
国际相关标准

鉴于还未有统一的网络安全相关国际标准,各国的安全法规多以ETSI/EN 303 645作为参考。ETSI/EN 303 645即“物联网消费品网络安全标准”,由ETSI(欧洲电信标准化协会)于2020年6月发布,该标准根据常见及重要的网络安全威胁,详细介绍了有关物联网消费设备安全性的规定。满足ETSI/EN 303 645标准要求的产品也即满足了《通用数据保护条例》 (General Data Protection Regulation,简称GDPR) 的相关要求。ETSI/EN 303 645的检测内容要求包括:禁止通用默认密码、实施漏洞披露管理、保持软件更新、安全存储敏感安全参数、通信安全、尽量减少暴露的受攻击面、确保软件的完整性、确保个人信息安全、是系统能够抵御中断、检查系统遥测数据、使用户易于删除用户数据、使用户易于安装和维护、验证输入数据、消费者IOT的数据保护规定。


图片
图片
国内相关标准

中国目前在网络安全方面也展开了一些行动,如GB/T 18336《信息安全技术 安全技术 信息技术安全评估准则》、有关机构制定了技术规范CCRC-TR-088-2018《智能家居产品安全技术要求及测试评价方法》、《智能安全认证—智能家电产品技术规范》,相关团体标准也在加紧研究制定中,下面以已发布的团标T/CAS 499—2021《智能家用电器网络安全技术要求和测评方法》为例来介绍。
T/CAS 499—2021《智能家用电器网络安全技术要求和测评方法》是在通用评估准则(CC:Common Criteria)的评价框架上,针对联网智能家用电器中需要保护资产特点及常面对威胁的特点,制定了具体可量化执行的测试方法,从而有效的对于产品的安全能力进行评估。其中安全能力分为基本级和增强级。基础级中包含:设备网络配置与绑定、鉴别机制、通信保护、固件安全、数值限制管理、代码安全、用户管理、访问控制、存储安全、漏洞修复、安全保障要求。基础级作为安全的基本门槛,增强级则对于其要求更加严苛,其测试中要求的安全功能,详见下图:

图片图1 网络智能家电的评估对象安全功能框架图
图片
在标准的对比中,可以发现国内外的网络安全测试标准虽有差异,但其评估对象大体一致,其检测内容也有较多重合,针对这一情况,企业可以按需选择检测标准。


信息来源:中家院(北京)检测认证有限公司


中家院(北京)检测认证有限公司,获得ETSI/EN 303 645以及T/CAS 499—2021的CNAS资质,可以为企业提供国内外标准的网络安全检测服务。

图片



觉得内容还不错的话,给我点个“在看”呗

图片
图片